這份文件列出 Network Security Integration 適用的配額和系統限制。
- 「配額」有預設值,但通常可以申請調整。
- 「系統限制」是固定值,無法變更。
Google Cloud 使用配額來確保公平性,並減少資源使用量和可用性出現劇烈波動的情況。配額會限制 Google Cloud 專案可使用的Google Cloud 資源數量,且適用多種資源類型,包括軟硬體和網路元件。舉例來說,配額可能會限制能向特定服務發出的 API 呼叫次數、專案可同時使用的負載平衡器數量,或是可建立的專案數量。配額機制可防止服務過載,保障Google Cloud 使用者社群的權益,同時也有助於您管理自己的 Google Cloud 資源。
Cloud Quotas 系統具備以下功能:
如果嘗試使用的資源量超過配額限制,系統通常會阻擋該資源的存取活動,您所執行的工作就會失敗。
配額的計算通常是以 Google Cloud 專案為基準。在某個專案中使用資源,不會影響另一個專案的可用配額。在同一個 Google Cloud 專案內,所有應用程式和 IP 位址會共用配額。
詳情請參閱「Cloud Quotas 總覽」。
網路安全整合資源也設有系統限制, 而且無法變更。
配額
本節列出網路安全整合適用的配額。
如要使用 Cloud Monitoring 監控各專案的配額,請為 serviceruntime.googleapis.com/quota/allocation/usage 指標設定監控,資源類型為 Consumer Quota。設定其他標籤篩選器 (service、quota_metric) 即可取得配額類型。如要瞭解如何監控配額指標,請參閱「繪製配額指標圖表並監控配額指標」。每個配額都有上限和用量值。
除非另有註明,如要變更配額,請參閱「要求提高配額」一節。
每項專案
下表列出每個專案的網路安全整合配額。
| 配額 | 說明 |
|---|---|
| 全域網路防火牆政策 | 專案中的全域網路防火牆政策數量,無論每個政策關聯的虛擬私有雲網路數量為何。 |
| 每個專案每個區域的鏡像部署 | 您可以在專案中每個可用區建立的鏡像部署數量。 |
| 每項專案每個區域的攔截部署數 | 您可以在專案中,每個可用區建立的攔截部署作業數量。 |
| 每個專案的鏡像部署群組數量 | 每個專案可建立的鏡像部署群組數量。 |
| 每個專案的攔截部署項目群組數量 | 每個專案可建立的攔截部署群組數量。 |
每個機構
下表列出每個機構的網路安全整合配額。如要變更機構層級的配額,請提出支援案件。
| 配額 | 說明 |
|---|---|
| 機構中未建立關聯的階層式防火牆政策 | 機構中未與任何資料夾或機構資源建立關聯的 階層式防火牆政策數量。與資源相關聯的機構階層式防火牆政策數量沒有上限。 |
每個防火牆政策
下表列出每個防火牆政策資源的網路安全整合配額。
| 配額 | 說明 |
|---|---|
| 階層式防火牆政策 | |
| 每個階層式防火牆政策的規則屬性 | 階層式防火牆政策中所有規則的規則屬性總數。詳情請參閱「規則屬性計數詳細資料」。 防火牆政策規則和鏡像規則共用此配額。 因此,如果階層式防火牆政策同時包含防火牆政策規則和鏡像規則,這兩種規則類型的規則屬性都會計入配額。 |
| 全域網路防火牆政策 | |
| 每個全域網路防火牆政策的規則屬性 | 全域網路防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。 防火牆政策規則和鏡像規則共用此配額。 因此,如果全域網路防火牆政策同時包含防火牆政策規則和鏡像規則,這兩種規則類型的規則屬性都會計入配額。 |
規則屬性計數詳細資料
每項防火牆政策最多支援的規則屬性總數。防火牆政策的規則屬性計數是其防火牆規則和鏡像規則的規則屬性總和。
以下範例規則顯示如何根據政策規則計算 Google Cloud 規則屬性:
| 政策規則範例 | 規則屬性總數 | 說明 |
|---|---|---|
包含下列兩項規則的全域網路防火牆政策:
|
6 |
|
每個部署項目群組
下表列出網路安全整合配額,這些配額適用於每個鏡像部署群組或每個攔截部署群組。
| 配額 | 說明 |
|---|---|
| 每個鏡像部署群組的鏡像端點群組 | 可與鏡像部署項目群組建立關聯的鏡像端點群組數量上限。 |
| 每個攔截部署項目群組的攔截端點群組數量 | 您可以與攔截部署群組建立關聯的攔截端點群組數量上限。 |
每個端點群組
下表列出網路安全整合配額,這些配額適用於每個鏡像端點群組或每個攔截端點群組。
| 配額 | 說明 |
|---|---|
| 每個鏡像端點群組的安全性設定檔群組 | 安全性設定檔群組數量上限,這些群組的安全性設定檔會參照鏡像端點群組。 |
| 每個攔截端點群組的安全性設定檔群組 | 安全性設定檔參照攔截端點群組的安全性設定檔群組數量上限。 |
| 依端點群組攔截端點群組關聯 | 可參照攔截端點群組的攔截端點群組關聯數量上限。 |
限制
除非另有註明,否則上限「無法」提高。
每個機構
以下限制適用於所有機構:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個機構的安全性設定檔群組 | 40 | 每個機構可建立的安全性設定檔群組數量上限。 |
| 每個機構的 Mirroring 端點群組 | 1 | 每個機構可建立的鏡像端點群組數量上限。如要更新這項限制,請提交支援案件。 |
每個網路
以下限制適用於 VPC 網路:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個網路的全域網路防火牆政策數量上限 | 1 | 可與虛擬私有雲網路建立關聯的全球網路防火牆政策數量上限。 |
每項規則
下列限制適用於虛擬私有雲防火牆規則、防火牆政策規則和鏡像規則:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每項防火牆規則的來源 IP 位址範圍數量上限 | 5,000 | 您在虛擬私有雲防火牆規則、防火牆政策規則或鏡像規則中,可以指定的來源 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。 這項上限無法提高。 |
| 每項防火牆規則的目的地 IP 位址範圍數量上限 | 5,000 | 您在虛擬私有雲防火牆規則、防火牆政策規則或鏡像規則中,可以指定的目的地 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。這項上限無法提高。 |
每個部署項目群組
下列限制適用於鏡像部署群組和攔截部署群組:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個鏡像部署群組的鏡像部署項目和鏡像端點群組關聯配對 | 1,000 | 針對每個鏡像部署群組,下列兩個數字的乘積最大值:
|
| 每個攔截部署項目群組的攔截部署項目和攔截端點群組關聯配對 | 1,000 | 針對每個攔截部署群組,下列兩個數字的乘積最大值:
|
管理配額
Network Security Integration 會基於多種原因,對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。採用 Google Cloud 免費方案探索的使用者也能透過配額,確保不會超出試用範圍。
所有專案最初的配額均相同,您可以要求額外配額來變更配額數量。某些配額可能會依據您使用產品的狀況而自動增加。
權限
如要查看配額或要求增加配額,身分與存取權管理 (IAM) 主體需要具有下列其中一種角色。
| 工作 | 必要角色 |
|---|---|
| 查看專案的配額 | 下列任一項: |
| 修改配額,要求額外配額 | 下列任一項: |
查看配額
控制台
- 前往 Google Cloud 控制台的「Quotas」(配額) 頁面。
- 使用篩選表格搜尋要更新的配額。 如果不知道配額名稱,請改用本頁面上的連結。
gcloud
請使用 Google Cloud CLI 執行下列指令,查看配額。使用您自己的專案 ID 替換 PROJECT_ID。
gcloud compute project-info describe --project PROJECT_ID如要查看特定區域的配額用量,請執行下列指令:
gcloud compute regions describe example-region
超出配額時產生錯誤
一旦超出 gcloud 指令的配額上限,gcloud 就會輸出 quota exceeded 錯誤訊息並傳回結束代碼 1。
如果您是在傳送 API 要求時超出配額, Google Cloud 會傳回下列 HTTP 狀態碼:413 Request Entity Too Large。
要求增加配額
如要調整大部分配額,請使用 Google Cloud 控制台。詳情請參閱「要求配額調整」。
資源可用性
如果特定類型的資源可以使用,則每項配額代表您能針對該資源建立的最大數量。請特別留意,配額「並不」保證資源可用性。即使您有可用的配額,如果資源無法提供使用,您也無法建立新的資源。
舉例來說,您可能有足夠的配額,可以在特定區域中建立全新區域性外部 IP 位址。不過,如果該區域沒有可用的外部 IP 位址,則無法建立。區域的資源可用性也會影響您建立新資源的能力。
整個區域的資源皆無法提供使用的狀況很罕見。然而,可用區內的資源有時可能會耗盡,不過一般來說並不會對該資源類型的服務水準協議 (SLA) 造成影響。如需更多資訊,請參閱與該資源相關的 SLA。